Chapter 18

Amazon Inspector - EC2 취약점 자동 스캔

학습 목표

  • Amazon Inspector의 역할과 필요성을 이해한다
  • Inspector를 활성화하여 EC2 인스턴스의 취약점을 자동 스캔한다
  • 발견 사항(Findings)을 심각도별로 분석하고 CVE 정보를 확인한다
  • 발견된 취약점에 대해 패키지 업데이트로 조치한다

왜 Inspector가 필요한가?

ShopEasy EC2 서버에는 다양한 소프트웨어 패키지가 설치되어 있습니다. 이 패키지들 중에 이미 알려진 보안 취약점(CVE)이 있을 수 있습니다. 해커는 이런 공개된 취약점을 이용하여 서버에 침입합니다.

Amazon Inspector는 EC2 인스턴스의 소프트웨어를 자동으로 스캔하여, 알려진 취약점이 있는지 확인하고 보고해주는 서비스입니다.

비유로 이해하기: 건물 안전 점검관

Inspector는 건물 안전 점검관과 같습니다.

건물(서버)을 정기적으로 점검하여 균열(취약점), 누수(보안 구멍), 소방 시설 미비(패치 누락) 등을 찾아냅니다.

점검관은 발견된 문제를 심각도별로 분류하여 보고서를 작성합니다. "이 균열은 당장 수리해야 합니다(Critical)", "이 부분은 시간을 두고 보수하면 됩니다(Low)"처럼요.

사고가 나기 전에 미리 발견하여 수리하는 것이 핵심입니다. Inspector가 없다면, 해커가 취약점을 이용하여 침입한 후에야 문제를 알게 됩니다.

ShopEasy 시나리오

"우리 EC2 서버에 알려진 보안 취약점(CVE)이 있을까? Inspector가 자동으로 스캔하여 알려줍니다."

Inspector가 하는 일:

  • EC2 인스턴스의 OS 패키지 취약점 스캔 - CVE(공개 취약점) 데이터베이스를 기반으로 스캔
  • 네트워크 도달 가능성(Network Reachability) 분석 - 외부에서 접근 가능한 포트 확인
  • 심각도 분류 - 발견 사항에 Critical / High / Medium / Low 심각도 부여
  • 수정 방법 안내 - 취약점을 해결하기 위한 패치/업데이트 정보 제공
비용 안내: 15일 무료 체험

Amazon Inspector는 15일 무료 체험 기간이 있습니다. 실습 비용 걱정 없이 활성화할 수 있습니다. 무료 기간이 지나면 스캔당 과금되며, Ch23에서 리소스 정리 시 비활성화할 수 있습니다.

Inspector 동작 방식

Amazon Inspector 동작 흐름
EC2 인스턴스
SSM Agent가
소프트웨어 인벤토리 수집
Amazon Inspector
CVE 데이터베이스와
비교/분석
발견 사항 (Findings)
심각도별 분류
수정 방법 안내
핵심 개념: CVE와 CVSS

CVE(Common Vulnerabilities and Exposures)는 공개된 보안 취약점의 국제 표준 식별자입니다. 예: CVE-2024-12345

CVSS(Common Vulnerability Scoring System)는 취약점의 심각도를 0~10 점수로 나타냅니다.

CVSS 점수심각도의미
9.0 ~ 10.0Critical즉시 조치 필요
7.0 ~ 8.9High빠른 조치 권장
4.0 ~ 6.9Medium계획적 조치
0.1 ~ 3.9Low낮은 위험도
SSM Agent와의 연계 (Ch17 복습)

Inspector는 SSM Agent를 통해 EC2의 소프트웨어 인벤토리를 수집합니다. Ch17에서 SSM Session Manager를 설정할 때 SSM Agent가 이미 활성화되어 있으므로, 별도 설정 없이 바로 스캔됩니다.

만약 SSM Agent가 비활성화되어 있다면, Inspector는 해당 인스턴스를 스캔할 수 없습니다.

실습: Amazon Inspector로 EC2 취약점 스캔

실습: ShopEasy EC2 인스턴스의 보안 취약점 자동 스캔
비용 안내

Amazon Inspector는 15일 무료 체험이 제공됩니다. 실습 기간 동안 비용이 발생하지 않습니다. 무료 기간 종료 후에도 EC2 인스턴스 스캔은 월 인스턴스당 약 $0.01~$1.50 수준입니다.

  1. Step 1: Amazon Inspector 활성화

    Amazon Inspector를 활성화하여 계정 내 EC2 인스턴스의 취약점 스캔을 시작합니다.

    설정 내용

    항목
    스캔 유형EC2 인스턴스 스캔
    자동 스캔활성화
    리전ap-northeast-2 (서울)

    수행할 작업

    • AWS 콘솔에서 Amazon Inspector 서비스로 이동
    • "시작하기" 또는 "활성화" 버튼 클릭
    • EC2 스캔을 활성화
    자동 스캔의 의미

    Inspector는 활성화하면 계정 내 모든 EC2 인스턴스를 자동으로 스캔합니다. 특정 인스턴스를 선택할 필요가 없습니다. 새 인스턴스가 생성되면 자동으로 스캔 대상에 포함됩니다.

    AWS 콘솔 → 검색창에 Inspector 입력 → Amazon Inspector 선택

    처음 접속하면 "Get Started" 또는 "시작하기" 페이지가 표시됩니다.

    "Enable Inspector" 또는 "Inspector 활성화" 버튼을 클릭하면 EC2 스캔이 자동으로 시작됩니다.

    주의: 리전이 ap-northeast-2 (서울)인지 확인하세요.

  2. Step 2: 스캔 결과 대기 및 대시보드 확인

    Inspector가 활성화되면 자동으로 EC2 인스턴스 스캔이 시작됩니다. 스캔은 수분~수십 분이 소요될 수 있습니다.

    대시보드에서 확인할 내용

    • 커버리지(Coverage): 스캔 대상 인스턴스 수 - ShopEasy EC2가 포함되어 있는지 확인
    • 발견 사항(Findings) 개수: Critical, High, Medium, Low별 발견 사항 수
    • 환경별 위험도 점수: 전체적인 보안 상태 파악
    커버리지(Coverage)란?

    커버리지는 Inspector가 스캔할 수 있는 리소스의 범위를 의미합니다. SSM Agent가 활성화된 EC2 인스턴스만 스캔 대상에 포함됩니다.

    Ch17에서 SSM Agent가 이미 활성화되어 있으므로, ShopEasy EC2 인스턴스가 커버리지에 자동으로 포함됩니다.

    Inspector 콘솔 → 왼쪽 메뉴에서 Dashboard를 클릭합니다.

    대시보드 상단에서 커버리지 현황을 확인합니다. "EC2 instances"에 숫자가 표시되면 스캔 대상이 등록된 것입니다.

    발견 사항이 아직 0이라면 스캔이 진행 중입니다. 몇 분 후 새로고침하세요.

  3. Step 3: 발견 사항(Findings) 상세 확인

    스캔이 완료되면 Inspector가 발견한 취약점들을 심각도별로 확인합니다. Critical부터 Low까지 순서대로 확인하는 것이 중요합니다.

    확인할 내용

    • 심각도별 필터링: Critical → High → Medium → Low 순서로 확인
    • 개별 발견 사항 클릭 시 확인할 정보:
      • CVE ID (예: CVE-2024-xxxxx)
      • 영향받는 패키지 이름과 버전
      • CVSS 심각도 점수 (0~10)
      • 수정 방법 (Fix available 여부)
      • 영향받는 인스턴스 정보
    심각도별 대응 기준

    Critical/High: 즉시 조치가 필요합니다. 해커가 이 취약점을 악용하면 서버 제어권을 탈취당할 수 있습니다.

    Medium: 가능한 빨리 조치합니다. 직접적인 위협은 낮지만 다른 취약점과 결합되면 위험해질 수 있습니다.

    Low: 정기 패치 주기에 맞춰 조치합니다.

    Inspector 콘솔 → 왼쪽 메뉴에서 Findings (발견 사항)을 클릭합니다.

    상단의 필터에서 Severity를 선택하여 심각도별로 필터링할 수 있습니다.

    개별 발견 사항을 클릭하면 CVE 상세 정보, 영향받는 패키지, 수정 방법 등을 확인할 수 있습니다.

    "Fix available: Yes"가 표시된 항목은 패키지 업데이트로 해결할 수 있습니다.

  4. Step 4: 취약점 조치 (패키지 업데이트)

    발견된 취약점을 해결하기 위해 EC2 인스턴스에 접속하여 패키지 업데이트를 수행합니다.

    수행할 작업

    • EC2에 접속 (Session Manager 또는 SSH)
    • 취약한 패키지 업데이트 실행
    • 업데이트 후 Inspector 재스캔 대기
    • 발견 사항이 줄어드는지 확인

    패키지 업데이트 명령어

    bash
    # 전체 패키지 업데이트
sudo yum update -y
    Session Manager로 접속하기

    Ch17에서 설정한 SSM Session Manager를 사용하면 SSH 키 없이도 EC2에 접속할 수 있습니다. AWS 콘솔 → EC2 → 인스턴스 선택 → ConnectSession Manager 탭에서 접속합니다.

    재스캔 시점

    Inspector는 패키지가 변경되면 자동으로 재스캔합니다. 업데이트 후 수분~수십 분 후에 발견 사항이 업데이트됩니다. 급하다면 Inspector 콘솔에서 수동 재스캔을 트리거할 수도 있습니다.

    실무 모범 사례
    • 정기 업데이트: 정기적으로 패키지 업데이트를 수행합니다 (최소 월 1회)
    • Critical/High 즉시 조치: Critical이나 High 취약점이 발견되면 즉시 패치합니다
    • Inspector 상시 활성화: Inspector를 항상 켜두면 새로운 CVE가 발표될 때 자동으로 재스캔됩니다
    • 업데이트 전 테스트: 프로덕션 환경에서는 업데이트 전 테스트 환경에서 먼저 검증합니다

    1. AWS 콘솔 → EC2 → 인스턴스 → ShopEasy 인스턴스 선택 → Connect

    2. Session Manager 탭 → Connect

    3. 터미널에서 다음 명령어 실행:

    bash
    # 패키지 업데이트
sudo yum update -y

# 업데이트된 패키지 확인
yum list updates

    4. 업데이트 완료 후 Inspector 대시보드에서 발견 사항 수가 줄어드는지 확인합니다. (수분~수십 분 소요)

확인 사항

  • Amazon Inspector가 활성화되었는가?
  • EC2 인스턴스가 스캔 대상(Coverage)에 포함되었는가?
  • 발견 사항(Findings)을 심각도별로 확인했는가?
  • 개별 CVE의 상세 정보(패키지, CVSS 점수, 수정 방법)를 확인했는가?
  • yum update로 취약한 패키지를 업데이트했는가?
이번 챕터에서 달성한 것
  • Amazon Inspector를 활성화하여 EC2 취약점 자동 스캔 설정
  • CVE, CVSS 등 보안 취약점 관리 개념 학습
  • 발견 사항을 심각도별로 분석하는 방법 습득
  • 패키지 업데이트를 통한 취약점 조치 실습
  • 사전 예방적(Proactive) 보안의 중요성 이해
다음 단계 미리보기

Inspector로 서버의 취약점을 스캔했다면, 다음 챕터에서는 IAM Access Analyzer로 IAM 역할과 정책의 보안을 점검합니다. 서버 보안(Inspector)과 권한 보안(Access Analyzer)을 모두 점검하면 더 견고한 보안 체계를 구축할 수 있습니다.